Kategorie
Bez kategorii

Zalecamy aktualizację oprogramowania antywirusowego i uczulamy na podejrzany phishing e-mail.

Microsoft znowu nie ma szczęścia w poprawianiu błędów. Właśnie powstał nowy PoC (Proof of Concept) i tym samym publicznie dostępny exploit, w którym badacz pokazuje jak za pomocą specjalnie przygotowanego kodu wykonać lokalną eskalację uprawnień (LPE) ze zwykłego użytkownika do SYSTEM, czyli do najwyższych uprawnień na Windows.

12 sierpnia 2019

Zalecamy aktualizację oprogramowania antywirusowego i uczulamy na podejrzany phishing e-mail.


Malware LokiBot otrzymał istotną aktualizację i jest teraz w stanie ukrywać swój kod źródłowy w niewinnie wyglądającym obrazku.

To już kolejne złowrogie wykorzystanie steganografii. Urok tej techniki polega na tym, że można z jej pomocą ukryć wiadomości lub kod w innych formatach plików np. .txt, .jpg, .rtf oraz w niektórych formatach video. Każdy z nas zetknął się z nią chociaż raz w przeszłości. Ochrona własności intelektualnej i praw autorskich dotąd była jej kluczową domeną. Nie trzeba było czekać długo, aż przestępcy znajdą dla niej praktyczne wykorzystanie także w swojej branży.

W aktualnie prowadzonej kampanii atakujący ukryli zaszyfrowane binaria LokiBot w plikach .png/.jpg. Obrazy spakowano w złośliwe archiwum, które następnie zostało rozesłane w wiadomościach phishingowych.

Przykładowy mail zawiera plik .doc, arkusz Microsoft Excel 97-2003 oraz paczkę ‚package.json’. Skan przez VirusTotal pokazał, że to jednak nie wszystko… W momencie otwarcia złośliwego pliku, skrypt instaluje malware jako plik .exe w folderze tymczasowym wraz z obrazkiem .jpg wzbogaconym o kod źródłowy LokiBot.

Ciekawostka. Spreparowany plik .jpg może zostać otwarty jako obraz.

Jak przebiega atak? Loader wyszukuje określony ciąg lub marker w kodzie, który rozpoczyna proces odszyfrowywania. Następnie odszyfrowana zawartość jest rozpakowywana i ładowana do pamięci komputera. Co daje zastosowanie steganografii? Dodaje ona kolejną warstwę zaciemnienia – wscript (interpreter plików VBS) służy egzekucji zadań malware’a. Z uwagi na to, że Autostart bazuje właśnie na skrypcie, być może kolejne wersje LokiBot będą w stanie w locie przeprowadzać jego modyfikację.

Szkody. LokiBot jest w stanie wykradać informacje, czy robić za keylogger’a. Dodatkowo program tworzy backdoor’a w zainfekowanych systemach Windows – zarówno w celu utrzymania ataku, jak i wysyłki skradzionych informacji do serwera C&C.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.